Nel Regno Unito è scaduto da pochi giorni un periodo di adeguamento di 12 mesi per la conformità a un codice di progettazione volto a proteggere i minori online, ovvero i produttori di app che offrono servizi digitali sul mercato a cui “probabilmente” accedono i minori (definiti in questo contesto come utenti minori di 18 anni) sono tenuti a rispettare una serie di standard volti a salvaguardare gli stessi dal tracciamento e dalla profilazione. Il codice di progettazione appropriato all’età è entrato in vigore il 2 settembre dello scorso anno, tuttavia l’organismo di vigilanza sulla protezione dei dati del Regno Unito, l’ICO, ha concesso il periodo di adeguamento massimo per consentire alle organizzazioni di raggiungere la conformità adattando i propri servizi. Ma ora ci si aspetta che gli standard del codice vengano rispettati.
I servizi a cui si applica il codice possono includere giocattoli e giochi connessi, ma anche vendita al dettaglio online e servizi online a scopo di lucro come social media e piattaforme di condivisione video che hanno una forte attrazione per i minori.
Tra le disposizioni del codice viene disposto un livello di “privacy elevata” che dovrebbe essere applicato alle impostazioni in modalità predefinita se l’utente è (o si sospetta che sia) un minore. Altre regolamentazioni specificano che la geolocalizzazione e la profilazione dovrebbero essere disattivate per impostazione predefinita (a meno che non ci sia una giustificazione convincente).
Il codice esorta anche i produttori di app a fornire il controllo genitori e a fornire, contemporaneamente, al minore tutte quelle informazioni su tali strumenti, avvertendo che i genitori potrebbero monitorare silenziosamente/invisibilmente la loro sessione senza essere informati del monitoraggio attivo.
Un altro standard mira al design del modello scuro, con un avvertimento ai produttori di app contro l’uso di “tecniche di spinta” per spingere i minori a fornire “dati personali non necessari o a indebolire o disattivare le loro protezioni della privacy”.
Il codice completo contiene 15 standard ma non è esso stesso integrato nella legislazione, piuttosto viene definito come una serie di raccomandazioni di progettazione che l’ICO vuole che i produttori di app seguano.
Il passaggio successivo è nelle mani del garante della privacy che dovrà inserire dei collegamenti espliciti tra questi standard sulla privacy con i requisiti di protezione dei dati più ampi che sono incorporati nella legge del Regno Unito.
Il rischio per le app che ignorano gli standard è quindi che attirino l’attenzione del garante, attraverso un reclamo o un’indagine proattiva, con il potenziale di un audit ICO più ampio che chieda approfondimenti sul loro intero approccio alla privacy e alla protezione dei dati.
“Controlleremo la conformità a questo codice attraverso una serie di audit proattivi, prenderemo in considerazione i reclami e adotteremo le misure appropriate per far rispettare gli standard di protezione dei dati sottostanti, soggetti alla legge applicabile e in linea con la nostra politica di azione normativa”, scrive l’ICO nella guida sul suo sito web. “Per garantire una regolamentazione proporzionata ed efficace, punteremo sui nostri poteri più significativi, concentrandoci su organizzazioni e individui sospettati di cattiva condotta ripetuta o dolosa o di grave inosservanza della legge”.
Prosegue avvertendo che: “Se non viene seguito questo codice, si potranno avere difficoltà a dimostrare che il trattamento è corretto e conforme al GDPR [Regolamento generale sulla protezione dei dati] o PECR [Regolamento sulla privacy e sulle comunicazioni elettroniche].”
In un post sul blog della scorsa settimana, Stephen Bonner, direttore esecutivo per il futuro normativo e l’innovazione dell’ICO, ha anche avvertito i produttori di app: “Saremo proattivi nel richiedere alle piattaforme di social media, ai siti di streaming video e musicale e all’industria dei giochi di dirci come il loro i servizi sono progettati in linea con il codice. Identificheremo le aree in cui potremmo aver bisogno di fornire supporto o, se le circostanze lo richiedono, abbiamo il potere di indagare o controllare il lavoro delle aziende”.
“Abbiamo identificato che attualmente, alcuni dei maggiori rischi provengono da piattaforme di social media, siti di streaming di video e musica e piattaforme di videogiochi”, ha continuato. “In questi settori, i dati personali dei minori vengono utilizzati e condivisi, per bombardarli di contenuti e funzionalità di servizio personalizzate. Ciò può includere annunci inappropriati, messaggi non richiesti, richieste di amicizia, e avvisi che spingano i minori a rimanere online. Siamo preoccupati per una serie di danni che potrebbero essere creati come conseguenza di questo utilizzo di dati, che potrebbero essere fisici, emotivi, psicologici e finanziari”.
“I diritti dei minori devono essere rispettati e ci aspettiamo che le organizzazioni dimostrino che l’interesse superiore dei minori è una preoccupazione primaria. Il codice fornisce chiarezza su come le organizzazioni possono utilizzare i dati dei minori in linea con la legge e vogliamo che le organizzazioni si impegnino a proteggerli attraverso lo sviluppo di progetti e servizi in conformità con il codice”, ha aggiunto Bonner.
I poteri esecutivi dell’ICO, almeno sulla carta, sono piuttosto ampi: solo con il GDPR, ad esempio, è possibile sanzionare i trasgressori fino a 17,5 milioni di sterline o fino al 4% del loro fatturato mondiale annuo, a seconda di quale sia più alto.
L’autorità di vigilanza può inoltre emettere ordini che vietino il trattamento dei dati o richiedano modifiche ai servizi ritenuti non conformi. Quindi le app che hanno scelto di violare il codice di progettazione dei minori rischiano di essere soggette a problemi normativi o peggio.
Negli ultimi mesi ci sono stati segnali che alcune importanti piattaforme hanno prestato attenzione alla scadenza della conformità dell’ICO: Instagram, YouTube e TikTok hanno annunciato modifiche al modo in cui gestiscono i dati dei minori e alle impostazioni dell’account prima della data del 2 settembre.
C’è però un problema: la spinta più ampia del governo sulla sicurezza online rischia di entrare in conflitto con alcuni degli obiettivi lodevoli del codice di progettazione della privacy dei minori non legalmente vincolante dell’ICO.
L’attuale raccomandazione nel codice di progettazione appropriato all’età è che i produttori di app “adottino un approccio basato sul rischio per riconoscere l’età dei singoli utenti e assicurarsi di applicare efficacemente gli standard di questo codice agli utenti minori”, suggerendo loro di: “O stabilire l’età con un livello di certezza adeguato ai rischi per i diritti e le libertà dei minori che derivano dal trattamento dei tuoi dati, o applicare invece gli standard di questo codice a tutti i propri utenti”.
Ad esempio, mentre il codice include il suggerimento (benvenuto) che i servizi digitali raccolgano il minor numero possibile di informazioni sui minori, in un annuncio all’inizio di quest’estate i legislatori del Regno Unito hanno pubblicato una guida per le piattaforme di social media e i servizi di messaggistica, prima della prevista legislazione sulla sicurezza online, che raccomanda loro di impedire ai minori di utilizzare la crittografia end-to-end.
Quindi la comunicazione ufficiale del governo del Regno Unito ai produttori di app sembra essere che, in breve tempo, la legge richiederà ai servizi commerciali di accedere a più informazioni sui bambini, non a meno, nel nome della loro “sicurezza”. Il che è piuttosto una contraddizione rispetto alla spinta alla minimizzazione dei dati sul codice di progettazione.
Il rischio è che i riflettori più stringenti sulla privacy dei bambini finiscano per essere offuscati e complicati da politiche sconsiderate che spingeranno le piattaforme a monitorare i bambini per dimostrare “protezione” da una serie di danni online, che si tratti di contenuti per adulti o post a favore del suicidio, o cyberbullismo ecc…
La legge sembra destinata a incoraggiare le piattaforme a “mostrare il loro funzionamento” per dimostrare la conformità e questo rischia di comportare un monitoraggio sempre più stretto dell’attività dei bambini, la conservazione dei dati e, forse, la profilazione del rischio e i controlli di verifica dell’età (che potrebbero persino finire per essere applicati a tutti gli utenti.
Messaggi così contrastanti e politiche disgiunte sembrano destinate ad accumulare requisiti sempre più confusi, e persino contrastanti, sui servizi digitali che operano nel Regno Unito, rendendo le aziende tecnologiche legalmente responsabili di indovinare la chiarezza in mezzo al caos politico, con il rischio simultaneo di enormi multe se ottengono il risultato sbagliato.
Rispettare gli standard di progettazione dell’ICO potrebbe quindi essere effettivamente la cosa più facile.
